Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

การทบทวนเรื่องราวตลอดทั้งปี 2023 ของ Threat Intelligence: ข้อมูลเชิงลึกและการพัฒนาที่สำคัญ

แชร์
วงกลมสีแดงบนท้องฟ้า

ถือเป็นปีที่น่าเหลือเชื่อสำหรับ Microsoft Threat Intelligence ปริมาณภัยคุกคามและการโจมตีที่แท้จริงที่ได้รับการเปิดเผยผ่านสัญญาณมากกว่า 65 ล้านล้านรายการที่เราตรวจสอบทุกวันทำให้เรามีจุดเปลี่ยนมากมาย โดยเฉพาะอย่างยิ่งเมื่อเราสังเกตพบการเปลี่ยนแปลงในวิธีการที่ผู้ดำเนินการภัยคุกคามปรับขนาดและใช้ประโยชน์จากการสนับสนุนที่กำกับโดยรัฐ ปีที่ผ่านมามีการโจมตีมากขึ้นกว่าที่เคย และห่วงโซ่การโจมตีก็เริ่มซับซ้อนมากขึ้นทุกวัน ระยะเวลาที่ใช้ดูเนื้อหาในหน้าก็สั้นลง กลยุทธ์ เทคนิค และกระบวนการต่างๆ (TTP) ได้พัฒนาให้มีความว่องไวมากขึ้นและหลบเลี่ยงได้ดีขึ้น การมองย้อนกลับไปดูรายละเอียดของเหตุการณ์เหล่านี้ช่วยให้เราเห็นรูปแบบต่างๆ เพื่อให้เราสามารถระบุวิธีตอบสนองต่อภัยคุกคามใหม่ๆ และคาดการณ์ว่าภัยคุกคามเหล่านั้นจะเคลื่อนไปในทิศทางใดได้ การทบทวน TPP ของเราตั้งแต่ปี 2023 มีเป้าหมายเพื่อให้เห็นภาพรวมที่ครอบคลุมของภูมิทัศน์ด้านข่าวกรองเกี่ยวกับภัยคุกคามผ่านสิ่งที่เราสังเกตเห็นในเหตุการณ์ต่างๆ ทั่วโลก นี่คือไฮไลต์บางส่วนที่ทั้ง Sherrod DeGrippo และผมอยากจะแบ่งปันกับพวกคุณ พร้อมกับตัวอย่างวิดีโอบางส่วนที่นำมาจากการสนทนาของเราที่ Ignite ปี 2023

John Lambert,
รองประธานบริษัท Microsoft และผู้ดูแลความปลอดภัย

การจำแนกประเภทการตั้งค่าชื่อผู้ดำเนินการภัยคุกคาม

ในปี 2023 Microsoft ได้เปลี่ยนมาใช้การจำแนกประเภทการตั้งชื่อผู้ดำเนินการภัยคุกคามตามสภาพอากาศแบบใหม่ ซึ่ง (1) เหมาะกับความซับซ้อน ขนาด และปริมาณที่เพิ่มมากขึ้นของภัยคุกคามยุคใหม่ยิ่งขึ้น และ (2) มอบวิธีที่เป็นระเบียบ จดจำได้ และง่ายกว่าในการอ้างอิงถึงกลุ่มปรปักษ์1

Microsoft แบ่งกลุ่มผู้ดำเนินการภัยคุกคามออกเป็นห้ากลุ่มหลัก ได้แก่:

การดำเนินการแทรกแซงของรัฐชาติ: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet

ในการจำแนกประเภทแบบใหม่ของเรา ชื่อเหตุการณ์สภาพอากาศหรือชื่อกลุ่มแสดงถึงหมวดหมู่ใดหมวดหมู่หนึ่งข้างต้น ผู้ดำเนินการภัยคุกคามภายในกลุ่มสภาพอากาศเดียวกันจะมีการกำหนดคำคุณศัพท์ให้เพื่อแยกแยะกลุ่มต่างๆ ยกเว้นกลุ่มที่มีการพัฒนาอย่างต่อเนื่อง ซึ่งจะได้รับตัวเลขสี่หลักแทน

แนวโน้มปี 2023 สำหรับกลยุทธ์ เทคนิค และกระบวนการ (TTP)

การหลีกเลี่ยงเครื่องมือและมัลแวร์แบบกำหนดเอง

กลุ่มผู้ดำเนินการภัยคุกคามที่เน้นในการลอบเร้นเลือกที่จะหลีกเลี่ยงการใช้มัลแวร์แบบกำหนดเอง แต่จะใช้เครื่องมือและกระบวนการที่มีอยู่ในอุปกรณ์ของเหยื่อเพื่อปิดบังตัวเองควบคู่ไปกับผู้ดำเนินการภัยคุกคามรายอื่น โดยใช้วิธีการที่คล้ายกันในการโจมตี 2

รองประธานบริษัท Microsoft และผู้ดูแลความปลอดภัย John Lambert แสดงความคิดเห็นสั้นๆ เกี่ยวกับวิธีหลีกเลี่ยงเครื่องมือแบบกำหนดเองที่ดูสะดุดตาของผู้ดำเนินการภัยคุกคามเพื่อลอบเร้นได้สำเร็จ ดูวิดีโอด้านล่าง:

การผสมผสานการดำเนินการแทรกแซง (IO) และการดำเนินการทางไซเบอร์

ในช่วงฤดูร้อน Microsoft สังเกตเห็นว่าผู้โจมตีที่กำกับโดยรัฐบางรายนั้นผสมผสานวิธีการดำเนินการทางไซเบอร์กับการดำเนินการแทรกแซง (IO) เข้าด้วยกันเป็นลูกผสมใหม่ที่เราตั้งชื่อว่า “การดำเนินการแทรกแซงทางไซเบอร์” กลยุทธ์ใหม่นี้ช่วยให้เหล่าผู้ดำเนินการส่งเสริม กล่าวเกินจริง หรือชดเชยข้อบกพร่องในการเข้าถึงเครือข่ายของตนหรือความสามารถในการโจมตีทางไซเบอร์ได้ 3 วิธีการทางไซเบอร์ประกอบด้วยกลยุทธ์ เช่น การโจรกรรมข้อมูล, การเปลี่ยนหน้าเว็บไซต์, DDoS และแรนซัมแวร์ ร่วมกับวิธีการแทรกแซง เช่น การรั่วไหลของข้อมูล, บัญชีหุ่นเชิด, การเลียนแบบเหยื่อ, โซเชียลมีเดีย และการสื่อสารทาง SMS/อีเมล
อาร์เรย์ของวิธีการแทรกแซงและไซเบอร์ที่เหมาะกับเว็บ

การโจมตีอุปกรณ์ขอบของเครือข่าย SOHO

ผู้ดำเนินการภัยคุกคามต่างกำลังรวบรวมเครือข่ายแอบแฝงจากอุปกรณ์ขอบของเครือข่ายสำนักงานขนาดเล็ก/โฮมออฟฟิศ (SOHO) แม้กระทั่งการใช้โปรแกรมเพื่อช่วยในการค้นหาตำแหน่งข้อมูลที่มีช่องโหว่ทั่วโลก เทคนิคนี้ทำให้การระบุแหล่งที่มาซับซ้อนยิ่งขึ้ ทำให้การโจมตีปรากฏขึ้นจากทุกที่4

ในวิดีโอยาว 35 วินาทีนี้ John Lambert จาก Microsoft จะมาอธิบายอย่างละเอียดว่าเหตุใดผู้ดำเนินการภัยคุกคามจึงพบว่าอุปกรณ์ขอบของเครือข่าย SOHO นั้นเป็นเป้าหมายที่น่าสนใจ ดูวิดีโอด้านล่าง:

ผู้ดำเนินการภัยคุกคามนั้นหาวิธีเข้าถึงเบื้องต้นจากหลากหลายวิธี

ในยูเครนและที่อื่นๆ นักวิจัยของ Microsoft Threat Intelligence ได้สังเกตเห็นผู้ดำเนินการภัยคุกคามหาวิธีเข้าถึงเป้าหมายเบื้องต้นโดยใช้ชุดเครื่องมือหลากหลายแบบ กลยุทธ์และเทคนิคที่พบได้ทั่วไป ได้แก่ การหาช่องโหว่จากแอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ต ซอฟต์แวร์ละเมิดลิขสิทธิ์แบบแบ็คดอร์ และสเปียร์ฟิชชิ่ง 5 โต้ตอบและเพิ่มจำนวนการดำเนินการแทรกแซงทางไซเบอร์อย่างรวดเร็วหลังการโจมตีของกลุ่มฮามาสเพื่อตอบโต้อิสราเอล

การเลียนแบบเหยื่อเพื่อเพิ่มความน่าเชื่อถือ

แนวโน้มที่เพิ่มขึ้นในการดำเนินการแทรกแซงทางไซเบอร์ก็คือการการเลียนแบบองค์กรเหยื่อที่ถูกกล่าวหาหรือบุคคลสำคัญในองค์กรเหล่านั้น เพื่อเพิ่มความน่าเชื่อถือให้กับผลกระทบของการโจมตีทางไซเบอร์หรือการหาช่องโหว่ 6

การเริ่มนำการพิสูจน์แนวคิดที่เปิดเผยต่อสาธารณะไปใช้อย่างรวดเร็วเพื่อการเข้าถึงเบื้องต้นและการคงอยู่

Microsoft ได้สังเกตเห็นว่ากลุ่มย่อยที่กำกับโดยรัฐบางกลุ่มเริ่มนำหลักการพิสูจน์แนวคิด (POC) ที่เปิดเผยต่อสาธารณะมาใช้มากขึ้นเรื่อยๆ ไม่นานหลังจากที่มีการเผยแพร่ เพื่อใช้ประโยชน์จากช่องโหว่ในแอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ต 7

 

รูปด้านล่างนี้แสดงให้เห็นถึงกลุ่มการโจมตีสองกลุ่มที่ได้รับการสนับสนุนจากกลุ่มย่อยที่กำกับโดยรัฐที่ Microsoft สังเกตเห็น จากทั้งสองกลุ่มนี้ ผู้โจมตีใช้ Impacket ในการลักลอบขับเคลื่อน

ภาพประกอบของห่วงโซ่การโจมตี

ผู้ดำเนินการภัยคุกคามพยายามใช้การส่งข้อความ SMS จำนวนมากเพื่อติดต่อกับกลุ่มเป้าหมาย

Microsoft สังเกตเห็นผู้ดำเนินการหลายคนพยายามใช้การส่งข้อความ SMS จำนวนมากเพื่อเพิ่มการต่อยอดเรื่องราวและผลกระทบทางจิตวิทยาของการดำเนินการแทรกแซงทางไซเบอร์ 8

รูปด้านล่างแสดงข้อความ SMS สองข้อความเคียงข้างกันจากผู้ดำเนินการภัยคุกคามที่แอบอ้างเป็นเครือข่ายกีฬาของอิสราเอล ข้อความทางด้านซ้ายมีลิงก์ไปยังหน้าเว็บ Sport5 ที่ถูกเปลี่ยนเนื้อหาในหน้าไปแล้ว ข้อความทางด้านขวากล่าวว่า “ถ้าคุณยังรักชีวิตอยู่ อย่าเดินทางมาที่ประเทศเรา”

Atlas Group Telegram: สกรีนช็อตของ SMS ที่ปลอมตัวเป็นเครือข่ายกีฬาของอิสราเอล

การดำเนินการด้านโซเชียลมีเดียช่วยเพิ่มการมีส่วนร่วมของผู้ชมอย่างมีประสิทธิภาพ

การดำเนินการแทรกแซงแอบแฝงได้เริ่มประสบความสำเร็จในการมีส่วนร่วมกับกลุ่มเป้าหมายบนโซเชียลมีเดียในระดับที่สูงกว่าที่สังเกตพบก่อนหน้านี้ ซึ่งแสดงถึงความซับซ้อนและการพัฒนาแอสเซท IO ออนไลน์ในระดับที่สูงขึ้น9

 

ด้านล่างนี้คือกราฟิก Black Lives Matter ที่อัปโหลดครั้งแรกโดยบัญชีอัตโนมัติของกลุ่มที่กำกับโดยรัฐ เจ็ดชั่วโมงต่อมา กราฟิกดังกล่าวถูกอัปโหลดอีกครั้งโดยบัญชีที่เลียนแบบเป็นผู้มีสิทธิ์เลือกตั้งฝ่ายอนุรักษ์นิยมของสหรัฐฯ

คำแถลงที่สนับสนุนชีวิตคนดำมีความสำคัญ ประณามการเลือกปฏิบัติ ความรุนแรงของตำรวจ การสนับสนุนศักดิ์ศรี และความปลอดภัย

ความเชี่ยวชาญเฉพาะภายในเศรษฐกิจแรนซัมแวร์

ผู้ดำเนินการแรนซัมแวร์ในปี 2023 ต่างมุ่งสู่ความเชี่ยวชาญเฉพาะ โดยเลือกที่จะมุ่งเน้นไปที่ความสามารถและบริการในวงแคบๆ ความเชี่ยวชาญเฉพาะนี้มีผลกระทบแยกย่อยมากมาย โดยแพร่กระจายผองค์ประกอบของการโจมตีแรนซัมแวร์ไปยังผู้ให้บริการหลายรายในระบบเศรษฐกิจใต้ดินอันซับซ้อน ในการตอบสนอง Microsoft Threat Intelligence จะติดตามผู้ให้บริการแยกกันแต่ละราย โดยสังเกตการรับส่งข้อมูลในการเข้าถึงเบื้องต้นและบริการอื่นๆ10

 

ในส่วนวิดีโอที่นำมาจาก Ignite ทาง Sherrod DeGrippo ผู้อำนวยการฝ่ายกลยุทธ์ข่าวกรองเกี่ยวกับภัยคุกคามของ Microsoft อธิบายถึงสถานะปัจจุบันของเศรษฐกิจบริการแรนซัมแวร์ ดูวิดีโอด้านล่าง:

การใช้เครื่องมือแบบกำหนดเองอย่างต่อเนื่อง

ในขณะที่บางกลุ่มหลีกเลี่ยงที่จะใช้มัลแวร์แบบกำหนดเองในการลอบเร้น (ดู “การหลีกเลี่ยงเครื่องมือและมัลแวร์แบบกำหนดเอง” ด้านบน) แต่ก็มีบางกลุ่มที่เปลี่ยนจากเครื่องมือและสคริปต์ง่ายๆ ที่มีทุกคนนำมาใช้ได้ แล้วหันไปใช้แนวทางที่ออกแบบตามความต้องการแทน ซึ่งต้องใช้ทักษะการหาข่าวทางลับที่ซับซ้อนมากกว่า11

โครงสร้างพื้นฐานเป้าหมาย

แม้ว่าองค์กรโครงสร้างพื้นฐาน เช่น โรงบำบัดน้ำ การดำเนินงานทางทะเล องค์กรการขนส่ง จะไม่มีข้อมูลมีค่าที่สามารถดึงดูดการจารกรรมทางไซเบอร์ส่วนใหญ่ได้ เนื่องจากขาดคุณค่าทางข่าวกรอง แต่กลับให้คุณค่าในการขัดขวาง 12

 

John Lambert จาก Microsoft นำเสนอสั้นๆ เกี่ยวกับความขัดแย้งของการจารกรรมทางไซเบอร์: เป้าหมายที่ดูเหมือนไม่มีข้อมูล ดูวิดีโอด้านล่าง:

ตามที่คุณเห็นจากรายละเอียดในส่วน 11 รายการจากปี 2023 ที่เราเพิ่งทบทวนกันไป ภาพรวมด้านภัยคุกคามนั้นมีการพัฒนาอย่างต่อเนื่อง และความซับซ้อนของการโจมตีทางไซเบอร์ รวมถึงความถี่ ยังคงเพิ่มขึ้นอย่างต่อเนื่องด้วย แน่นอนว่าผู้ดำเนินการภัยคุกคามมากกว่า 300 รายที่เราติดตามดูอยู่นั้นมักจะลองสิ่งใหม่ๆ เสมอ และผสานรวมเข้ากับ TTP ที่เคยลองทำแล้วและได้ผล นั่นคือสิ่งที่เราชอบเกี่ยวกับผู้ดำเนินการภัยคุกคามเหล่านี้ ตอนที่เราวิเคราะห์และทำความเข้าใจบุคลิกของพวกเขา เราก็สามารถคาดการณ์การเคลื่อนไหวต่อไปของพวกเขาได้ และตอนนี้ AI สร้างสรรค์ก็ช่วยให้เราสามารถทำได้เร็วขึ้น และจะสามารถขับไล่ผู้โจมตีได้เร็วขึ้นด้วย

 

ฉะนั้นแล้ว ไปต่อกันที่ปี 2024 กัน

 

หากต้องการรับข่าวสารและข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามที่คุณเข้าใจได้อย่างง่ายดาย โปรดดูพ็อดแคสต์ Microsoft Threat Intelligence ที่จัดโดย Sherrod DeGrippo

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    หนึ่งปีแห่งสงครามไฮบริดของรัสเซียในยูเครน หน้าที่ 14

  6. [6]

    อิหร่านหันมาใช้การดำเนินการแทรกแซงทางไซเบอร์เพื่อผลกระทบที่มากยิ่งขึ้น หน้าที่ 11

  7. [7]
  8. [8]

    อิหร่านหันมาใช้การดำเนินการแทรกแซงทางไซเบอร์เพื่อผลกระทบที่มากยิ่งขึ้น หน้าที่ 11

  9. [9]

    ภัยคุกคามทางดิจิทัลจากเอเชียตะวันออกขยายวงกว้างและมีประสิทธิภาพมากขึ้น หน้าที่ 6

  10. [10]

    หนึ่งปีใน Intel: ไฮไลต์จาก Global Stand Against APT ของ Microsoft

  11. [11]

    อิหร่านหันมาใช้การดำเนินการแทรกแซงทางไซเบอร์เพื่อผลกระทบที่มากยิ่งขึ้น หน้าที่ 12

  12. [12]

    หนึ่งปีใน Intel: ไฮไลต์จาก Global Stand Against APT ของ Microsoft

การดำเนินการแทรกแซงทางไซเบอร์ รัฐชาติ ผู้ดำเนินการภัยคุกคาม

บทความที่เกี่ยวข้อง

ผู้ดำเนินการภัยคุกคามจากรัสเซียรุกคืบต่อเนื่อง พร้อมฉกฉวยโอกาสจากภาวะเหนื่อยล้าจากสงคราม

การดำเนินการทางไซเบอร์และการดำเนินการแทรกแซงของรัสเซียยังคงเกิดขึ้นอย่างต่อเนื่องในขณะที่สงครามในยูเครนยังคงดำเนินต่อไป Microsoft Threat Intelligence นำเสนอรายละเอียดเกี่ยวกับภัยคุกคามทางไซเบอร์และกิจกรรมการแทรกแซงด้านข้อมูลข่าวสารล่าสุดในช่วงหกเดือนที่ผ่านมา
เรียนรู้เพิ่มเติม

Volt Typhoon มุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ ด้วยเทคนิค Living-off-the-land

Microsoft Threat Intelligence ค้นพบการปฏิบัติการข่าวสารทางไซเบอร์เพิ่มขึ้นจากอิหร่าน รับข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามพร้อมรายละเอียดของเทคนิคใหม่ๆ และตำแหน่งที่อาจเกิดภัยคุกคามในอนาคต
เรียนรู้เพิ่มเติม

แรนซัมแวร์ในรูปแบบการบริการ: โฉมหน้าใหม่ของอาชญากรรมไซเบอร์ทางอุตสาหกรรม

Microsoft Threat Intelligence ตรวจสอบการดำเนินการทางไซเบอร์และการดำเนินการแทรกแซงในยูเครนในระยะเวลาหนึ่งปี ค้นพบแนวโน้มใหม่ของภัยคุกคามทางไซเบอร์ และสิ่งที่คาดหวังได้เมื่อสงครามเข้าสู่ปีที่สอง
เรียนรู้เพิ่มเติม

ติดตาม Microsoft Security